Dossiers médicaux dévoilés – «J'ai laissé 13 jours pour refermer la faille»

Publié

Dossiers médicaux dévoilés«J'ai laissé 13 jours pour refermer la faille»

LUXEMBOURG – Le «leaker» qui a révélé la faille de sécurité de la base de données du centre médicosportif a accepté une interview exclusive avec «L’essentiel Online».

Pas besoin de hacker le centre médicosportif pour accéder aux données sensibles de 49 000 dossiers médicaux, il suffisait de lire un post-it sur lequel se trouvait le mot de passe.

Pas besoin de hacker le centre médicosportif pour accéder aux données sensibles de 49 000 dossiers médicaux, il suffisait de lire un post-it sur lequel se trouvait le mot de passe.

DPA

L'essentiel Online: Comment avez-vous fait pour accéder aux données des 49 000 dossiers médicaux?

Leaker: Je n’ai rien hacké, il s’agissait d’un leak, d’une faille. J’ai trouvé le mot de passe. Imaginez-vous par exemple que monsieur le ministre gare sa Rolls Royce devant la gare, qu’il laisse la porte ouverte et les clés sur le contact.

Et comment avez-vous trouvé le mot de passe?

Un pur hasard. J’étais en train de passer un examen médical au centre médicosportif. Ils m’ont laissé attendre seul dans une pièce. C’est alors que j’ai vu le mot de passe sur un post-it collé à l’écran de l’ordinateur, comme probablement des milliers de clients avant moi. Je l’ai essayé, et cela a fonctionné. Je n’ai jamais eu l’intention de me rendre au centre médicosportif dans le but de hacker une base de données.

Qu’est-ce que vous avez fait des données?

Je n’ai pas fait de copies des données, juste une capture d’écran. Si on reprend l’image de la Rolls Royce du ministre laissée devant la gare, je me suis contenté de m’asseoir dedans, et j’ai admiré le tableau de bord. Ensuite j’ai respecté les règles et j’ai prévenu les institutions compétentes de l’État. Celles-ci m’ont confirmé la réception de mon message. Ensuite j’ai laissé 13 jours au gouvernement pour refermer la faille avant de rendre l’information publique.

Le ministre de la Justice François Biltgen a réagi. Une enquête a été ouverte et vous encourez des sanctions pénales. Que pensez-vous de cette réaction?

Le gouvernement a réagi de façon un peu extrême, avec l’enquête ils ont sorti la grosse artillerie. Il aurait été plus honnête de leur part d’avouer qu’il ne maîtrisait pas l’information qui leur avait été donnée. Bien sûr je n’estime pas mériter une récompense. Sachant tout de même que des sites comme Facebook ont l’habitude de le faire. En effet celui qui découvre une faille de sécurité sur ce réseau social et qui les en informe reçoit 500 Dollars (390 euros). Lorsque la faille est colmatée il a ensuite le droit de la révéler au public.

Que pensez-vous de votre action après coup?

Tout n’a pas été parfait. Parfois, pour faire bouger les choses il faut prendre des risques. Mais je suis toujours convaincu d’avoir fait ce qui devait être fait et que ce n’est moralement pas répréhensible. J’ai agi au nom de la sécurité des données sensibles.

Ces données sont-elles maintenant mieux protégées?

Je n’ai pas été le vérifier. D’après les sources officielles il n’y a eu qu’un changement de mot passe pour l’accès à la base de données. Mais cela ne change rien au problème, car tant que celle-ci sera accessible sur Internet, une faille sera toujours possible. Des bases de données avec des informations aussi sensibles, comme par exemple ces dossiers médicaux, ne doivent en aucun cas être mises en ligne aussi simplement. Il y a bien d’autres possibilités, comme l’Intranet Health Net, sur lequel sont stockés des dossiers médicaux.

Connaissez-vous d’autres bases de données avec des failles similaires?

Si c’est possible avec une base de données, cela le sera avec toutes les autres. Pensez par exemple à Scolaria à laquelle on accède par le site myschool, dans le domaine de l’éducation scolaire et qui regroupe toutes les informations sur les élèves. Il suffit qu’un enseignant révèle, volontairement ou par mégarde, le mot de passe, et tout devient accessible. Il faut au moins protéger les données par des systèmes de sécurité comme Luxtrust.

Vous avez pris beaucoup de précautions pour rester anonyme. Pensez-vous devoir craindre les conséquences juridiques de vos actes?

Je ne sais pas, on verra.

Propos recueillis par Sarah Brock/L'essentiel Online

La Commission de protection des données enquête

La Commission nationale pour la protection des données (CNPD) mène actuellement une enquête pour comprendre l’origine de la faille et comment le leaker a pu avoir accès au mot de passe protégeant les données sensibles de 49 000 dossiers médicaux.

C’est ce qu’a confirmé le président de la Commission, Gérard Lommel, contacté vendredi par «L’essentiel Online». «Il est inquiétant de constater qu’il suffit de connaître un mot de passe pour accéder à distance à ces données sensibles.»

Face à environ 15 à 20 000 bases de données d’entreprises et d’institutions publiques du Luxembourg, la Commission n’est pas en mesure de contrôler si toutes les mesures de sécurité sont bien appliquées. (ks)

Quelles sont les sanctions pénales encourues par le leaker?

La sanction pénale encourue par un leaker au Luxembourg n’est pas exactement fixée, rapporte Henri Eippers, porte-parole du parquet contacté par «L'essentiel Online». S’il s’agit de piraterie Internet, la sanction encourue peut aller de de deux mois à deux ans d’emprisonnement assortis d’une amende de 500 à 12 500 euros. Sinon, il pourrait s'agir d'un vol (de mot de passe).(jmh)

Ce que dit le ministère de la Justice

Quand est-ce que le mot de passe a été volé? À qui le leaker a-t-il révelé la faille? Est-ce qu’il peut être garanti que le leaker n’a pas copié les contenus de la base de données? Est-ce que les personnes concernées (49 000) par cette faille peuvent être certains que leurs données ne seront pas divulguées?

À toutes ces questions le ministère de la Justice contacté par «L’essentiel Online» a une réponse, et une seule: «C’est ce que révélera l’enquête». (ks)

Ton opinion